Zertifikat neuerstellt - seither kein HTTPS Zugriff mehr

[Sir_MoD]

Hallo zusammen,

Ich habe gemäss der Anleitung im Wiki (http://www.synology-wiki.de/index.php/Generierung_eines_eigenen_SSL-Zertifikats) mein eigenes Zertifikat erstellt.
Und auch wie beschrieben die Datei ca.crt bei meinem Rechner importiert.

Wenn ich nun versuche über HTTPS auf die DS zuzugreifen, die Fehlermeldung "Die Webseite kann nicht angezeigt werden".

Der Zugriff über FTPS funktioniert einwandfrei.

Ich bin für jede Hilfe dankbar

Gruss Markus

 

[Gawain]

Hallo Markus,

was genau meinst du mit "über https auf die DS zuzugreifen"? Sprich: was genau gibst du denn gerade ein? Versuchst du "https://dieurlvondeinerDS.de" oder "https://dieurlvondeinerDS.de:5001" oder was ganz anderes?

Häufig liegst nämlich nur daran, dass man statt https http nimmt oder versucht auf die 5000 statt auf die 5001 zuzugreifen, etc.

Gawain

P.S.: HTTPS-Dienst im DSM (Netzwerkdienste/Webdienste) ist aktiviert?

 

[Sir_MoD]

Ich gebe https://dieurlvondeinerDS.de:5001 ein.

Aber ich habe es auch mit http://dieurlvondeinerDS.de:5000 probiert.
Da ich aber eingestellt habe, dass ich nur via HTTPS auf en DSM zugreifen darf, werde ich natürlich zur ersten Adresse umgeleitet, wo dann eben wieder die Meldung erscheint, dass die Seite nicht angezeigt werden kann.
Wenn ich via HTTP auf eine Webseite auf der DS zugreife, klappt es. (http://dieurlvondeinerDS.de/meinordner).

HTTPS hat bisher funktioniert, also nehme ich schon an, dass es aktiviert ist.
Aber ich kann es ja eben nicht kontrollieren, da ich nicht mehr auf den DSM komme.

 

[Gawain]

Hmm... also scheint in den Grundeinstellungen alles in Ordnung zu sein.

Dann bin ich selber zunächst mal mit meinem Latein leider am Ende, denn der Linux-Experte bin ich leider (noch) nicht

Gawain

 

[Sir_MoD]

Ich denke nicht, dass ich der einzige bin, der ein eigenes Zertifikat erstellt hat...
Kennt niemand dieses Problem oder besser noch, die Lösung dazu ?

 

[goetz]

Hallo,
hast Du Zugriff über ssh?

Gruß Götz

 

[Sir_MoD]

ja, der Zugriff via SSH funktioniert einwandfrei.

 

[goetz]

Hallo,
OK, der httpd logt standardmäßig nach /dev/null, das müssen wir ändern um ihm auf den Zahn zu fühlen. In
/usr/syno/apache/conf wird httpd.conf-sys editiert. In etwa der Hälfte steht

#ErrorLog /var/log/httpd-error-sys.log
ErrorLog /dev/null

daraus

ErrorLog /var/log/httpd-error-sys.log
#ErrorLog /dev/null

machen und sichern (den access-log brauchen wir nicht). Den httpd neu starten

/usr/syno/etc/rc.d/S97apache-sys.sh restart

Jetzt unternimm ein paar Zugriffsversuche und poste bitte den Inhalt von /var/log/httpd-error-sys.log.

Gruß Götz

 

[Sir_MoD]

Angehängt findest du/ihr den Inhalt der Datei "/var/log/httpd-error-sys.log" nach 2 erfolglosen Zugriffen via HTTPS (einen auf den DSM und einen auf eine "normale" Webseite auf der DS)

(Der Text war zu lang, um ihn direkt hier zu schreiben)

 

[goetz]

Hallo,
bin da auch nicht so fit drin, aber ich denke Du hast ein Problem mit dem Client-Zertifikat

[Tue Jun 30 19:17:42 2009] [info] SSL Library Error: 336151570 error:14094412:SSL routines:SSL3_READ_BYTES:sslv3 alert bad certificate Subject CN in certificate not server name or identical to CA!?
[Tue Jun 30 19:17:42 2009] [info] [client 192.168.3.120] Connection closed to child 0 with abortive shutdown (server *:5001)

Generiere die Schlüssel alle noch einmal neu und achte darauf, daß beim generieren des Stammzertifikats als commonName NICHT der DynDNS Name angegeben wird, Vorgabe einfach lassen. Beim Server-Zertifikat dann den DynDNS als commonName angeben.

Gruß Götz

 

[Sir_MoD]

Ich habe nun die Zertifikate neu erstellt, und bei der Erstellung des Stammzertifikates den CommonName nicht eingegeben.
Nach einem Neustart der DS kann ich leider noch immer nicht via HTTPS daraufzugreifen.

 

[goetz]

Hallo,
welchen Browser benutzt Du? Hast Du das Client-Zertifikat neu installiert, bzw das alte gelöscht?
Was passiert wenn Du https://192.168.X.XXX eingibst?
Gruß Götz

 

[Sir_MoD]

Ich verwende InternetExplorer (7 & 8) und Firefox.
Ja, ich habe das Zertifikat zu erst rausgelöscht und den entsprechenden Computer sogar neugestartet....aber ich erhalte keine Möglichkeit, das "fehlerhafte" Zertifikat zu umgehen bzw. im FF als vertrauenswürdig zu aktzeptieren.
Wenn ich https://192.168.3.200 eingebe, erhalte ich die selbe Meldung wie immer (IE
"Die Webseite kann nicht angezeigt werden"

Nachtrag:
Ich wollte eine Einstellung über DSM vornehmen und habe die Original Zertifikate aus dem backup Ordner kopiert (dieser wird ja gemäss der Anleitung erstellt).
Ich habe dies schon mehrfach gemacht und es hat auch immer funktioniert...aber dieses Mal nicht mehr....ich kriege nun nicht mal mehr mit den Standardzertifikaten einen Zugriff via HTTPS.

 

[goetz]

Hallo,
jetzt hast Du ein Problem mit der Signatur

Das Zertifikat der Gegenstelle hat eine ungültige Signatur.

(Fehlercode: sec_error_bad_signature)

Lösche bitte
/usr/syno/etc/ssl/ssl.crt/*.crt
/usr/syno/etc/ssl/ssl.csr/*.csr
/usr/syno/etc/ssl/ssl.key/*.key
und restarte
/usr/syno/etc/rc.d/S97apache-sys.sh restart
damit werden neue Zertifikate erstellt.
Schau auch noch mal in Ruhe unter Internetoptionen->Inhalte->Zertifikate... alles durch und lösche die die irgendetwas mit Deiner DS zu tun haben.

Gruß Götz

 

[QTip]

evtl. hilft auch das hier http://www.synology-forum.de/showpost.html?p=21023&postcount=7

 

[Sir_MoD]

evtl. hilft auch das hier http://www.synology-forum.de/showpost.html?p=21023&postcount=7

Danke für den Link....ich habe noch einmal kontrolliert, aber es sind nirgendwo Reste der alten Zertifikate vorhanden.

 

[Sir_MoD]

Hallo,
jetzt hast Du ein Problem mit der Signatur

Das Zertifikat der Gegenstelle hat eine ungültige Signatur.

(Fehlercode: sec_error_bad_signature)

Lösche bitte
/usr/syno/etc/ssl/ssl.crt/*.crt
/usr/syno/etc/ssl/ssl.csr/*.csr
/usr/syno/etc/ssl/ssl.key/*.key
und restarte
/usr/syno/etc/rc.d/S97apache-sys.sh restart
damit werden neue Zertifikate erstellt.
Schau auch noch mal in Ruhe unter Internetoptionen->Inhalte->Zertifikate... alles durch und lösche die die irgendetwas mit Deiner DS zu tun haben.

Gruß Götz

Danke für den Tipp, entschuldige, dass es so lange gedauert hat, ich hab deinen Post irgendwie übersehen .... ich sollte genauer lesen. *schämmich*

Ich habe diese Schritte ausgeführt: nun kann ich zumindest via HTTPS zumindest wieder auf den DSM zugreifen.
Aber auf "normale" Webseiten klappt es nicht.

Gruss Markus

 

[peter.schwandner]

DANKE, DANKE, DANKE

Bei mir ist gestern der Webserver nach dem Import eines Zertifikates abgeschmirt und konnte nicht mehr gestartet werden.
Durch diese Anleitung und das löschen der Zertifikate kann ich jetzt wieder darauf zugreifen!

DANKE
mfg Peter

 

[masch]

Manchmal hilft auch ein anderer Browser!!!

Hallo Miteinander

Danke für diese Einträge.

Bin heute auf Euren Eintrag gestossen und schon fast verzweifelt versucht den NAS zurückzusetzen.

Jedoch die letzte Hilfe war: Ein iMac mit Safari!

- Hier konnte ich mich einloggen und das ohne Zertifikatsfehler

Apple sei Dank cool:

Grüsse

masch

 

[PatrickS3]

...

Bin heute auf Euren Eintrag gestossen und schon fast verzweifelt versucht den NAS zurückzusetzen.

Jedoch die letzte Hilfe war: Ein iMac mit Safari!

...

Da wäre jetzt interessant zu wissen, ob das auch mit Safari unter Windows geklappt hätte.